Bezpieczeństwo w systemach wbudowanych — tylko opcja czy już konieczność?
W ostatnim czasie bezpieczeństwo w świecie technologii nabrało szczególnego znaczenia. Dla większości z nas to realny sposób przeciwdziałania awariom, błędom logicznym, a także innym problemom, które mogą pojawić się podczas użytkowania nowoczesnych urządzeń. Na rynku panuje przekonanie, że temat dotyczy przede wszystkim narzędzi IoT (Internet of Things), a samo rozwiązanie często uznaje się za opcjonalne. Znaczny odsetek firm projektujących systemy wbudowane koncentruje się wyłącznie na zabezpieczeniu oprogramowania przed nieautoryzowanym dostępem lub skopiowaniem. Inne kwestie związane z ochroną gromadzonych danych, danych kalibracyjnych i konfiguracyjnych bywają ignorowane. Ale czy to właściwe podejście? Sprawdź, jak w autorskim materiale ocenia je Marek Natunewicz, Solution Architect w Sii Polska, specjalista w Centrum Kompetencyjnym Embedded.
Zagrożenia cybernetyczne, czyli bezpieczniej już było
Wraz z rozwojem technologii na rynku systemów wbudowanych (embedded) obserwujemy niepokojący wzrost cyberprzestępczości obejmującej szpiegostwo przemysłowe, ataki hakerskie oraz włamania do systemów. Raport „ENISA Threat Landscape 2023” wskazuje, że w porównaniu z poprzednimi latami liczba incydentów cybernetycznych radykalnie wzrosła. Na podstawie danych opublikowanych przez magazyn Forbes szacuje się, że w 2023 roku globalne koszty związane z cyberatakami przekroczyły poziom 10,5 biliona dolarów.
Systemy wbudowane, które pozwalają diametralnie skrócić czas przeznaczany na wykonywanie codziennych obowiązków odgrywają coraz istotniejszą rolę w naszym życiu. Ich użytkowanie wiąże się z generowaniem bardzo dużej ilości danych, w tym wyników obliczeń, nastaw, danych dostępu, kodów źródłowych czy schematów zachowań. Istnieje ryzyko, że poprzez włamanie dostaną się w niepowołane ręce, zostaną wykorzystane niezgodnie z przeznaczeniem lub doprowadzą do przejęcia pełnej kontroli nad narzędziem.
(Nie)bezpieczne urządzenia?
Zdarza się, że użytkownikom wydaje się, że ich urządzenia są bezpieczne, ponieważ nie gromadzą informacji, które mogłyby stanowić wartość dla potencjalnego włamywacza. Dotyczy to zwłaszcza produktów montowanych w trudno dostępnych miejscach lub nieskomunikowanych z innymi sprzętami. Nic bardziej mylnego. Cyberprzestępcy mogą uzyskać nieautoryzowany dostęp zarówno do pojedynczych urządzeń, jak i rozbudowanych systemów poprzez wszelkiego rodzaju porty transmisyjne, ekrany, klawiatury, elementy sygnalizujące i komponenty do komunikacji radiowej.
Nawet pozornie proste urządzenia, takie jak sterowniki bramy garażowej albo oświetlenia, gromadzą dane obejmujące, chociażby czasy otwarcia, zamknięcia czy przebywania w domu. Te niewiele znaczące informacje mogą jednak stać się cennym źródłem wiedzy dla osób, które planują je wykorzystać w niezamierzony sposób. Właśnie dlatego wdrażanie zasad bezpieczeństwa jest kluczowe również w przypadku nieskomplikowanych systemów.
Przewodnik po bezpieczeństwie
Niepewność wśród wdrażających zasady bezpieczeństwa dla systemów wbudowanych często wynika z nieznajomości norm, standardów i regulacji prawnych lub braku ich zrozumienia. Bez względu na specyfikę działalności firmy oraz sektor, w którym funkcjonuje, punktem wyjścia zawsze powinno być zapoznanie się z obowiązującymi wytycznymi.
Standardy dotyczące zasad bezpieczeństwa
Istnieje kilkadziesiąt norm dotyczących zasad bezpieczeństwa, które należy wdrażać w urządzeniach elektronicznych. Zadaniem standardów jest przede wszystkim opisanie procesów związanych z projektowaniem, implementacją, utrzymywaniem, zarządzaniem i monitoringiem zagrożeń oraz luk, z uwzględnieniem bezpieczeństwa. Poza określeniem ogólnych kierunków działania, normy mają być źródłem wskazówek na temat praktyk zapewniających najwyższy poziom ochrony.
Lista przedstawiająca najważniejsze normy dla urządzeń wbudowanych w poszczególnych sektorach została przedstawiona na poniższej grafice. Część standardów dotyczy systemów IoT, kolejne skupiają się na całym systemie, ostatnie zaś opisują tematy związane z bezpieczeństwem bardziej ogólnie.
Rysunek 1. Popularne normy i standardy dotyczące bezpieczeństwa.
Często firmy nie potrafią samodzielnie wybrać standardu, który sprawdzi się w przypadku ich urządzenia. W rezultacie próbują samodzielnie tworzyć procedury dotyczące bezpieczeństwa, posiłkując się pasującymi elementami dostępnych standardów. — Niewłaściwa analiza spowodowana niedostateczną wiedzą i pośpiechem może znacząco utrudnić, a w najgorszym przypadku uniemożliwić skuteczne wdrożenie wymaganych norm — mówi Monika Jaworowska, Dyrektor Centrum Kompetencyjnego Embedded w Sii Polska. — Warto więc skorzystać z pomocy doświadczonych ekspertów w dziedzinie bezpieczeństwa systemów wbudowanych, których kompetencje pozwolą zrozumieć i zastosować odpowiednie standardy, dostosowane do specyficznych wymagań i procesów w danej branży — dodaje.
Regulacje prawne dotyczące zasad bezpieczeństwa
Na terenie Unii Europejskiej, Stanów Zjednoczonych i Wielkiej Brytanii trwają intensywne prace nad wdrożeniem nowych przepisów prawnych dotyczących zasad bezpieczeństwa. Część z nich już obowiązuje, inne są opracowywane. UE przyjęła również strategię bezpieczeństwa opartą w głównej mierze na istniejących normach i standardach.
W 2025 roku zostanie wprowadzona dyrektywa UE-RED, obejmująca swoim zakresem urządzenia elektroniczne wyposażone w funkcje komunikacji radiowej, takie jak Bluetooth, WiFi czy Zigbee. Z kolei w 2027 roku wejdzie w życie dyrektywa UE-CRA, która nałoży obowiązek stosowania i implementacji zasad bezpieczeństwa we wszystkich urządzeniach elektronicznych z cyfrową jednostką sterującą. W Wielkiej Brytanii natomiast w ciągu roku zostaną nałożone obowiązki uregulowane w UK-PSTI.
Większość wdrażanych przepisów obejmuje lub będzie obejmować okres przejściowy trwający od kilku do kilkunastu miesięcy, który ma umożliwić firmom dostosowanie swoich produktów do nowych regulacji prawnych. Wskazany przedział czasowy jest jednak bardzo krótki w porównaniu z zakresem prac do wykonania, więc warto zabrać się za wdrożenie tak szybko, jak to możliwe.
Kiedy potrzebna jest implementacja zasad bezpieczeństwa?
Przy obecnym tempie rozwoju systemów wbudowanych nie wystarczy projektować urządzeń, które mają realizować tylko pewien przewidziany zakres logiki. Świadomość w zakresie bezpieczeństwa stale rośnie, przez co klienci coraz częściej przed podjęciem decyzji o zakupie produktu starannie sprawdzają, czy spełnia standardy i normy.
Wciąż panuje przeświadczenie, że o bezpieczeństwo rozwiązania można zadbać już po przygotowaniu go do produkcji i sprzedaży. Okazuje się, że niestety nie. Bezpieczeństwo powinno być integralną częścią całego procesu rozwoju urządzenia i nie wolno o nim zapominać na żadnym etapie. Zasady związane z bezpieczeństwem muszą zostać uwzględnione na etapie projektowania docelowego produktu. Wymaga to przeprowadzenia analizy ryzyk i luk oraz identyfikacji elementów i danych, które mogą stać się celem ataków. Dodatkowo zalecane jest wdrożenie praktyk „secure coding” oraz zaprojektowanie oprogramowania z uwzględnieniem potencjalnych zagrożeń.
Oczywiście istnieje możliwość wdrożenia zasad bezpieczeństwa na późniejszym etapie. Obierając taką strategię, trzeba liczyć się jednak z dodatkowymi wydatkami, wydłużeniem czasu trwania prac oraz potrzebą przeprojektowania systemu. Rozpoczęcie działań już na starcie projektu przynosi z kolei wymierne korzyści, zarówno pod względem efektywności, jak i kosztów.
Rysunek 2. Zalety i wady wdrożenia zasad bezpieczeństwa do projektu.
Inwestycja w jakość i reputację firmy
Tematyka bezpieczeństwa w systemach wbudowanych nie należy do łatwych. Jednak biorąc pod uwagę gwałtowny wzrost oraz skalę zjawiska cyberprzestępczości, przeciwdziałanie zagrożeniom nie jest już opcją, lecz absolutną koniecznością. Poprzez wdrażanie zasad bezpieczeństwa, firmy chronią wrażliwe dane przed nieautoryzowanym dostępem, minimalizują ryzyko awarii, ataków i błędów oraz zapewniają bezpieczeństwo i komfort użytkowania, tym samym budując zaufanie i lojalność klientów.
Chcesz dowiedzieć się więcej o bezpieczeństwie w systemach wbudowanych? Skontaktuj się z ekspertami Sii Polska.
